一种工控网络安全预警系统技术方案

本发明专利技术涉及一种工控网络安全预警系统，可以定时或状态触发高效率遍历网络用户，获取工业控制网络设备的安全状态数据，并对安全数据进行加密传输和加密存储，利用数据分析模型对数据进行分析，得出异常统计，据此判断当前系统的存在的潜在安全漏洞及安全风险，并对他们进行桌面展示及报警，从而可及时查找故障原因，排除故障，进而提高了生产效率。

Industrial network security early warning system

The invention relates to a computer network security warning system can trigger the timing or state of efficient traversal of network users, security status data acquisition equipment and industrial control network, the security of data transmission is encrypted and encrypted storage, analysis of the data in the data analysis model, the abnormal statistics, to judge the potential security vulnerabilities and security risks the current system exists, and on their desktop display and alarm, which can cause, timely troubleshooting troubleshooting, and improve the production efficiency.

【技术实现步骤摘要】

本专利技术涉及一种预警方法，具体涉及一种工控网络安全预警系统。
技术介绍
目前，通信技术在工业生产领域已得到广泛应用，但由于缺少必要的报警装置，当工业网络出现故障，信息安全存在问题时无法及时查找故障原因，排除故障从而降低了生产效率。
技术实现思路
针对上述问题，本专利技术提供一种以总揽大局的方式为工业网络故障的及时排查、分析提供可靠依据的工控网络安全预警系统，用于协助安全管理工程师对工业控制网络的安全做出预判，包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块；所述的网络用户遍历模块采用蛛网模型对工控网络的用户进行遍历，先按照网络类型进行聚类，再将聚类网络进行分层，利用深度优先法遍历聚类网络，利用广度优先法遍历分层网络；两种网络遍历方法相结合从而提高网络遍历的效率。工业控制网络的用户按照用户性质可以分为网络安全设备和网络主机两类。网络安全设备主要包括工业防火墙、工业安全网关、工业网闸、安全审计等。网络主机主要是工程师站、APC控制站等。安全预警系统主要是通过遍历获取网络用户的运行状态、安全设备的审计日志、防火墙的规则配置及防火墙日志等用户数据模型。安全数据的加密传输及加密存储模块，安全数据的传输利用传输通信加密及身份认证的方式进行，身份认证采用时间同步动态口令、MD5加密与数字证书相结合的多因子动态密码身份认证系统；采用AES加密后进行数据传输，系统接收传输数据经MD5加密后存储，用户必须通过动态口令及数字证书认证后才可从本地或远程访问数据库；数据分析模块，首先将获取数据进行清理、集成并进行拆分和归一化，再进行关联分析、聚类分析后对数据进行异常分析；将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对数据进行基于偏差与密度的二元异常分析，分析出网络的潜在危害并按特征因量的异常次数、被保护用户的重要性等确定潜在危害等级；所述数据分析模块，首先将获取数据用分箱技术和使用属性平均值或全局常量等方法清除噪声、数据不一致及数据不完整的问题，并通过对数据的属性规约和记录规约达到对数据集成并进行拆分和归一化的目的。进一步对数据进行关联分析，找出所有频繁项集并发现大量数据中项集之间的关联关系。然后进行聚类分析将对象的集合分成相似的对象类。最后可通过异常检测对数据进行异常分析，找出离群点，例外点和野点。将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对海量数据进行基于偏差与密度的二元异常分析，分析出网络的假冒、重放、篡改、拒绝服务等潜在危害。展示与报警模块用于监视每个网络用户设备的流量、受攻击次数、协议畸形、协议阻止次数、非法端口异常开启、防火墙规则变动情况，并提供实时画面显示、报警查询、安全预警报告功能。此外，展示与报警模块还负责捕获现场通讯信道中的攻击，并详细显示攻击来自哪儿、使用何种通信协议、攻击目标是谁。报警管理功能集成系统中所有的异常事件和报警信息，并对报警信息进行等级划分，以总揽大局的方式为工业网络故障的及时排查、分析提供了可靠依据。网络用户遍历模块采用定时或状态触发的方式遍历网络用户。本专利技术可以定时或状态触发高效率遍历网络用户，获取工业控制网络设备的安全状态数据，并对安全数据进行加密传输和加密存储，利用数据分析模型对数据进行分析，得出异常统计，据此判断当前系统的存在的潜在安全漏洞及安全风险，并对他们进行桌面展示及报警。附图说明图1是本专利技术系统部署图；图2是网络用户遍历的示意图；图3是安全管理平台示意图；图4是数据通信安全机制示意图；图5是数据分析模块示意图；图6是本专利技术的工作流程图。具体实施方式一种工控网络安全预警系统，用于协助安全管理工程师对工业控制网络的安全做出预判，如图1所示，包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块；所述的网络用户遍历模块采用定时或状态触发的方式采用蛛网模型对工控网络的用户进行遍历，先按照网络类型进行聚类，再将聚类网络进行分层，利用深度优先法遍历聚类网络，利用广度优先法遍历分层网络；工业控制网络的用户按照用户性质可以分为网络安全设备和网络主机两类。如图3所示，网络安全设备主要包括工业防火墙、工业安全网关、工业网闸、安全审计等。安全数据的加密传输及加密存储模块，如图4所示，安全数据的传输利用传输通信加密及身份认证的方式进行，身份认证采用时间同步动态口令、MD5加密与数字证书相结合的多因子动态密码身份认证系统；采用AES加密后进行数据传输，系统接收传输数据经MD5加密后存储，用户必须通过动态口令及数字证书认证后才可从本地或远程访问数据库；数据分析模块，如图5所示，首先将获取数据可用分箱技术和使用属性平均值或全局常量等方法清除噪声、数据不一致及数据不完整的问题，并通过对数据的属性规约和记录规约达到对数据集成并进行拆分和归一化的目的。进一步对数据进行关联分析，可通过数据挖掘算法找出所有频繁项集，做支持度测试和置信度测试，发现大量数据中项集之间的关联关系。然后进行聚类分析，通过相似性测度，聚类准则，聚类算法(包括K均值聚类算法、EM聚类算法等)三要素将对象的集合分成相似的对象类。最后可选择通过基于统计分布的异常检测、基于偏差的异常检测、基于距离的异常检测或者基于密度的异常检测对数据进行异常分析，找出离群点，例外点和野点。将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对海量数据进行基于偏差与密度的二元异常分析，分析出网络的假冒、重放、篡改、拒绝服务等潜在危害。并按特征因量的异常次数、被保护用户的重要性等确定潜在危害等级。展示报警管理平台模块，可以监视每个网络用户设备的流量、受攻击次数、协议畸形、协议阻止次数、非法端口异常开启、防火墙规则变动等情况，并提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。还负责捕获现场通讯信道中的攻击，并详细显示攻击来自哪儿、使用何种通信协议、攻击目标是谁。报警管理功能集成系统中所有的异常事件和报警信息，并对报警信息进行等级划分，以总揽大局的方式为工业网络故障的及时排查、分析提供了可靠依据本文档来自技高网...

【技术保护点】
一种工控网络安全预警系统，用于协助安全管理工程师对工业控制网络的安全做出预判，其特征在于：包括网络用户遍历模块、安全数据的加密传输及加密存储模块、数据分析模块以及展示与报警模块；所述的网络用户遍历模块采用蛛网模型对工控网络的用户进行遍历，先按照网络类型进行聚类，再将聚类网络进行分层，利用深度优先法遍历聚类网络，利用广度优先法遍历分层网络；安全数据的加密传输及加密存储模块，安全数据的传输利用传输通信加密及身份认证的方式进行，身份认证采用时间同步动态口令、MD5加密与数字证书相结合的多因子动态密码身份认证系统；采用AES加密后进行数据传输，系统接收传输数据经MD5加密后存储，用户必须通过动态口令及数字证书认证后才可从本地或远程访问数据库；数据分析模块，首先将获取数据进行清理、集成并进行拆分和归一化，再进行关联分析、聚类分析后对数据进行异常分析；将网络的流量、受到的攻击次数、工业协议畸形、协议阻止次数、非法端口、非法登录、防火墙设置参数作为特征量对数据进行基于偏差与密度的二元异常分析，分析出网络的潜在危害并按特征因量的异常次数、被保护用户的重要性确定潜在危害等级；展示与报警模块用于监视每个网络用户设备的流量、受攻击次数、协议畸形、协议阻止次数、非法端口异常开启、防火墙规则变动情况，并提供实时画面显示、报警查询、安全预警报告功能。...

【技术特征摘要】
1.一种工控网络安全预警系统，用于协助安全管理工程师对工业控
制网络的安全做出预判，其特征在于：包括网络用户遍历模块、安全
数据的加密传输及加密存储模块、数据分析模块以及展示与报警模
块；
所述的网络用户遍历模块采用蛛网模型对工控网络的用户进行
遍历，先按照网络类型进行聚类，再将聚类网络进行分层，利用深度
优先法遍历聚类网络，利用广度优先法遍历分层网络；
安全数据的加密传输及加密存储模块，安全数据的传输利用传输通信
加密及身份认证的方式进行，身份认证采用时间同步动态口令、MD5
加密与数字证书相结合的多因子动态密码身份认证系统；采用AES加
密后进行数据传输，系统接收传输数据经MD5加密后存储，用户必须
通过动态口令及数字证书认证后才可从本地或远...

【专利技术属性】
技术研发人员：周文奇，
申请(专利权)人：周文奇，
类型：发明
国别省市：山东;37